# AN1192 — Analytic 1192 ## Descrição Detecta VMs convidadas ou agentes de gerenciamento emitindo tráfego HTTP(S) para serviços externos sem justificativa válida de gerenciamento de patches ou backup. A telemetria inclui logs de rede do ESXi, syslogs do VMkernel e registros de tráfego de VMs gerenciadas para correlacionar destinos de tráfego externo com a baseline de comúnicações legítimas de cada VM. Esse analítico é importante porque hosts ESXi e suas VMs raramente deveriam iniciar conexões HTTP(S) espontâneas para serviços web externos, e qualquer atividade não esperada pode indicar comprometimento e comunicação com infraestrutura C2 adversarial. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1192](https://attack.mitre.org/detectionstrategies/DET0425#AN1192)*